對涉及國家安全的網絡產品和服務進行網絡安全審查已成為國際通行做法,也是國際社會所普遍接受的保障國家網絡安全的正當措施。作為網絡空間法治化的重要一環,網絡安全審查制度對維護我國國家安全,推進國家治理體系和治理能力現代化可謂意義深遠。實踐證明,網絡安全審查是保障關鍵信息基礎設施供應鏈安全、捍衛我國網絡空間主權、保障國家安全與核心利益的基礎性制度。在建設網絡強國、數字中國和智慧社會的過程中,網絡安全審查制度必將發揮其重要作用。
一、我國網絡安全審查制度的發展歷程
2014年5月,我國正式宣布將推出網絡安全審查制度。2015年7月通過的《國家安全法》第五十九條規定的國家安全審查制度,成為網絡安全審查的上位制度。2016年7月,《國家信息化發展戰略綱要》明確我國要建立實施網絡安全審查制度。2016年11月通過的《網絡安全法》第三十五條規定,“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查”,正式開啟了網絡安全審查制度法治化的歷程。
為貫徹落實《網絡安全法》規定的網絡安全審查制度,2017年5月22日,國家互聯網信息辦公室發布《網絡產品和服務安全審查辦法(試行)》(以下簡稱“試行辦法”)。試行辦法規定了網絡安全審查的內容、審查機構和審查程序等核心制度,確保了網絡安全審查的標準公開、程序透明、結論公正。
通過試行辦法的實施,國家對構建網絡安全審查制度進行了大量有益的探索。同時,隨著物聯網、區塊鏈、人工智能、量子計算等新技術和新應用的出現,網絡空間的大國博弈日趨激烈,網絡安全形勢發生了重大變化。為應對新的網絡安全威脅和風險,同時修正試行辦法的不足之處,國家互聯網信息辦公室等12個部門2020年4月13日印發《網絡安全審查辦法》(以下簡稱審查辦法),開啟了我國網絡安全審查制度的新時代。
二、我國網絡安全審查制度的基本定位
網絡產品和服務,不能存在危及網民合法權益、公共安全的缺陷,更不能存在危及國家安全的隱患,這是對網絡產品和服務的基本要求。為了應對日益嚴峻、復雜的網絡安全威脅,有必要通過網絡安全審查制度,評估和審核網絡產品或者服務是否存在危害關鍵信息基礎設施安全和國家安全的可能或者風險。網絡安全審查不同于測評、認證,也不同于通用性審查、外商投資國家安全審查,重點審查網絡產品或者服務是否存在影響關鍵信息基礎設施安全和國家安全的威脅或者風險。
我國的網絡安全審查制度,是在準確理解網絡安全的本質,深刻認識所面臨的國內外網絡安全形勢的基礎上,堅持總體國家安全觀以及整體、動態、開放、相對、共同網絡安全觀,正確處理安全與發展關系的前提下,確立的在開放環境下應對網絡安全威脅與風險的基礎性制度,是維護國家安全、社會公共利益,保護公民、法人和其他組織的合法權益的“底層”制度,是我國掌握網絡空間防御主動權的重要利器。
三、我國網絡安全審查制度的四大特色
作為保障國家安全的重要制度設計,網絡安全審查是我國和平利用網絡空間、堅定維護網絡空間安全戰略理念的體現。以法律的形式確立網絡安全審查制度,通過法制手段保障國家安全,是減少網絡空間技術對抗與沖突的有益嘗試,這是我國網絡安全審查制度最大的亮點。作為防范網絡空間新型國家安全風險的重要手段,我國網絡安全審查制度在廣泛借鑒國際通行做法的基礎上,重點考慮了我國網絡安全所面臨的一般風險和特殊風險,制度設計具有以下特色:
(一)將關鍵信息基礎設施供應鏈安全作為關注重點
美國的網絡安全審查具體覆蓋國家安全系統、國防系統、聯邦政府系統。英國網絡安全審查的重點是外國公司在英國關鍵基礎設施的投資是否會影響國家安全。我國的審查辦法聚焦于關鍵信息基礎設施供應鏈安全,旨在避免可能對關鍵信息基礎設施的保密性、完整性和可用性構成威脅而引發國家安全風險。
(二)對國內外供應商一視同仁
美國2013年頒布的《綜合持續撥款法案》中針對特定國家的產品和服務進行網絡安全審查的規定,嚴重違背國際貿易的“非歧視性”原則,引發了各方激烈的抨擊。2010年印度電信部以安全為由禁止本國運營商在敏感區域購買中國電信設備,但允許向歐美廠商采購,并向運營商發出通知明確在采購信息產品時,印度本地人控股或者所有的企業免于網絡安全審查。反觀我國網絡安全審查制度的設計,對國內供應商和國外供應商一視同仁。只要符合網絡安全基線的產品或者服務,都可以在關鍵信息基礎設施中使用,而不論供應商國籍和產品來源地,這為全球網絡產品和服務市場創造了一個公平競爭的場所和環境。
(三)堅持公開透明的原則
與美國、印度等國家的網絡安全審查相比,我國網絡安全審查做到了最大限度的公開透明。我國的審查辦法明確了審查主要考慮的五方面因素,能夠最大限度保證審查活動的公正性和透明度,有利于消除各方將網絡安全審查制度作為“政策工具”的顧慮。審查標準公開透明,使供應商能夠依照審查標準準確判斷自身產品或者服務的安全狀況,為供應商提供了明確的行為指引和預期。同時,為審查機構提供明確的工作指引和依據,避免了審查權的濫用,有利于實現風險控制的目的。
(四)持續進行風險監督
審查辦法要求運營者督促供應商履行網絡安全審查中作出的承諾,同時,網絡安全審查辦公室通過接受舉報等形式加強事前事中事后監督。這一規定使網絡安全審查由“節點控制”轉變為“過程控制”,網絡安全審查源于采購階段,但監督拓展至網絡產品和服務的整個生命周期。風險的持續性監控,有利于全面提升關鍵信息基礎設施的安全保障能力。(作者:崔聰聰,北京郵電大學互聯網治理與法律研究中心副主任)